Szolgáltatási tájékoztatónk olyan repülőterek részére készült, ahol AFIS (Aerodrome Flight Information Service) légi forgalmi tájékoztató szolgálatot biztosítanak.
Ez a szolgáltatás olyan repülőtereken működik, ahol nincs szükség teljes körű légi forgalmi irányításra (ATC), de ahol a repülési biztonság érdekében szükséges a repülőgépek tájékoztatása.
"Alap" vagy "jelentős" biztonsági osztályokba sorolt EIR-ek esetén tudjuk segíteni a NIS2 felkészülést.
Mi a NIS2 és ki lehet kötelezett szervezet?
(Network and Information Systems, NIS) Európai Uniós direktíva második frissített verziója, mely az Informatikai hálózatok és rendszerek kiberbiztonságát hivatott magasabb szintre emelni. Ennek magyarországi jogharmonizációs eredménye a Kibertan.tv. (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről).
Miért érintett:
A repülőterek az 1. melléklet : - Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek : 8 Közlekedés, Légi közlekedés :
a polgári légiközlekedés védelmének szabályairól és a Légiközlekedés Védelmi Bizottság jogköréről, feladatairól és működésének rendjéről szóló kormányrendelet szerinti légiközlekedés védelmében közreműködő szervezet -
miatt érintett.
169/2010. (V. 11.) Korm. rendelet a polgári légiközlekedés védelmének szabályairól és a Légiközlekedés Védelmi Bizottság jogköréről, feladatairól és működésének rendjéről
2. § 2. a légiközlekedés védelmében közreműködő szervezetek: az 1. § (1) bekezdés g)–m) pontjában felsorolt szervezetek;
1. § (1)
g) a repülőtér tűzoltóvédelmi kategóriáját és polgári védelmi feladatait biztosító szervezetre,
h) a légiközlekedési szállítási tevékenységben részt vevő, vagy ilyet felajánló személyre, szervezetre vagy vállalkozásra,
i) működési engedéllyel vagy azzal egyenértékű okmánnyal rendelkező légiközlekedési vállalkozásra (a továbbiakban: légi fuvarozó) [a továbbiakban a h)–i) pontok együtt: légitársaság],
j) a repülőtér üzemben tartójára,
k) a légiforgalmi irányító szolgálatot ellátó szervezetre (a továbbiakban: légiforgalmi irányító szolgálat),
l) a repülőtér légi oldalán belül telephellyel rendelkező légijármű karbantartó, és javító szervezetre, valamint a légiközlekedési szállítási tevékenységben részt vevő légijármű karbantartó, légijármű és javító szervezetre (a továbbiakban együtt: karbantartó és javító szervezet),
m) * a földi kiszolgálási tevékenységet végző gazdálkodó szervezetekre, meghatalmazott ügynökre, ismert szállítóra, a 100 főnél több munkavállalót foglalkoztató vámmentes boltra, biztonsági vállalkozásra, fedélzeti ellátmány meghatalmazott beszállítójára, fedélzeti ellátmány ismert beszállítójára, repülőtéri készlet ismert beszállítójára, légiközlekedés védelmi tevékenységet végző jogalanyokra (a továbbiakban együtt: egyéb jogalany),
Közép- vagy kisvállalkozásnál nagy a probléma
A NIS2 szabályozás elsősorban nagyvállalati környezetre készült, így a kisebb cégek számára, amelyek kiemelten kritikus üzletágaik révén érintettek, a hatékony és hosszú távú informatikai biztonság fenntartása komoly kihívást jelenthet. Sajnos nem elég egy alkalommal rendbetenni a dokumentumokat, mint a GDPR esetében. Komoly változásokat kell eszközölni a működésben és ezt folyamatosan adminisztrálni is kell. Ehhez elengedhetetlen az automatizálás és a megfelelő szoftverek használata, hiszen a kétévente esedékes újra auditáláskor vagy ellenőrzéskor bizonyítani kell a napi működés során keletkezett logok létezését, elemzését, tárolását, és az elvégzett feladatok kötelező dokumentálását. Fontos, hogy a keletkezett dokumentumok ne csak a jogszabályi kötelezettségeket fedjék le, hanem valódi segítséget nyújtsanak egy esetleges incidens során a helyreállításban.
Milyen szoftverekre lehet szükség?
Négy nagy csoportot lehet azonosítani, ami segíthet:
- Biztonsági információk és események kezelése.
Azok az szoftver eszközök, amelyek a számítógépekről és a szerverekről gyűjtenek információkat, hogy elemezés révén észrevehetővé tegyék a fenyegetéseket, lehetővé tegyék, hogy reagálhassunk rájuk (pl.: SIEM, XDR). - Biztonsági vezénylés, az automatizálás és reagálás.
Az összegyűjtött információk alapján (SIEM) az ismétlődő és időigényes feladatokkal elárasztott informatikai biztonsággal foglalkozó csapat automatizálással tudja megoldani az incidenseket, ezáltal csökkentik a költségeket, pótolják a lefedettségi hiányosságokat és növelik a hatékonyságot (pl.: SOAR). - Irányítás, kockázatok és megfelelőség.
Hozzáférések engedélyeztetése, beavatkozási utasítások, naplók, kockázatkezelési keretrendszer - azok a folyamatok, amiket a szabályozás előír és elvégzésre került, de eddig nem volt semmi nyoma (pl.: GRC). - Repülési események adminisztrációs rendszere
A törvény által előírt jelentési és statisztikai kötelezettségek teljesítéséhez és a szolgáltatások számlázásához nagy segítség egy számlázórendszerrel integrált a Kibertan.tv.-nek megfelelő üzemeltetésű EIR.
Statisztikák: Extra profit adó, Zaj (futópályánként), Forgalmi, Rendőrségi (határnyitások), Kereskedelmi, Üzemanyag..
Természetesen, ezek a funciók egyes szoftverekben részben átfedhetik egymást!
Régóta tapasztaljuk és tesszük
Cégünk már 2018 óta működik együtt olyan repülőtérrel, ahol saját fejlesztésű nyilvántartó rendszert fejleszt, amely biztosítja a folyamatos, magas színvonalú támogatást és a gyors reagálást. Ez különösen kritikus azoknak a reptereknek, amelyek nem rendelkeznek saját IT-biztonsági szakértőkkel. Fontos kiemelni, hogy olyan rendszereket javaslunk (nem kizárólag a saját fejlesztésűt), amelyek részben automatizálják az adminisztratív feladatokat, így a cégeknek nem szükséges plusz munkaerőt felvenniük a kötelezettségek teljesítéséhez. - Ezzel jelentős anyagi terhet veszünk le partnereink válláról, és minimalizáljuk a képzéshez kapcsolódó kihívásokat is.
Minek kell megfelelni?
Miniszteri rendelet szabályozza, hogy melyik biztonsági kategóriában, milyen védelmi intézkedéseknek kell megfelelni, de jobban járunk, ha rögtön a Nemzeti Kibervédelmi Intézet követelménykatalógusát (lap alja, letöltés) kezdjük böngészni, mert ebben benne van a magyarázat és a végrehajtási lépések javaslata is egyben.
Fontos kulcs az élettartam
A megoldásaink élettartama az iparágban megszokottnál hosszabb, hiszen egyetemi és önkormányzati rendszereket is üzemeltetünk folyamatos frissítéssel és terméktámogatással. Ezeknél a rendszereknél nem engedhető meg a rövid, 1-3 éves átlagos szoftver élettartam, mivel a stabilitás és a hosszú távú működés kiemelt szempont. Folyamatosan arra törekszünk, hogy olyan megoldásokat válasszunk, amelyek hosszú távon is fenntarthatók, és lehetőleg magas licenc költségek nélkül üzemeltethetők, vagy könnyen skálázhatók.
Hogyan kezdjünk neki?
Szükséges felmérni a jelenleg használt hálózati és szoftveres környezetet. Ebből a leltárból azonosítani tudjuk az elkülöníthető EIR-eket (Elektronikus Információs Rendszer). Ha elkészült a lista, akkor el kell végezni egy GAP (rés) analízist, hogy mi az eltérés a jelenlegi rendszer és az elvárt cél között.
Ez első körben nem végrehajtható feladat! A valódi sorrend, hogy felmérjük a meglévő rendszereket a fenyegetések katalógusa alapján, ahol bizalmasság, sértetlenség, rendelkezésre állás szempontból értékelünk. Ha ez elkészült, akkor láthatóvá válik, hogy mely rendszerek jelentenek vállalhatatlan kockázatot (mit kell kiváltani).
A kiváltandó rendszereket megfontoltan cseréljük le, mert itt lehet a legtöbbet spórolni! Válasszunk helyettük olyat, ami meg fog felelni az előírásoknak, és automatizálhatóan lehet őket dokumentálni és üzemeltetni (védeni)! Ez az a pont, ahol a tapasztalat segíthet a tervezésben.
Érdemes tisztázni, hogy a felkészítés és az üzemeltetés közben nem szükségszerű ugyanazon személyi állományt igénybe venni. A felkészítéskor biztosítjuk a megfelelő magasabb szakértelmet, amely a fenntartási időszakban akár a saját személyi állománnyal ki lehet váltani.
Nem szükségszerű, hogy a jelenlegi hálózati üzemeltetésben résztvevő vállalkozó lecserélésre kerüljön! Támogatjuk, hogy a helyi bejáratott IT üzemeltető végezze a továbbiakban is a tevékenységet, természetesen a törvényi előírásoknak meg kell felelnie.
A NIS2 szervezeti bevezetésének támogatásához nyújtott szolgáltatásaink
Személyi szolgáltatások
IBF "Információbiztonsági Felelős"
- Biztonsági irányelvek és szabályzatok kidolgozása és karbantartása:
Az információbiztonsági felelős meghatározza a szervezet biztonsági stratégiáit és gondoskodik azok betartásáról. - Kockázatkezelés:
Az információbiztonsági fenyegetések és sebezhetőségek azonosítása, és azok minimalizálására irányuló intézkedések végrehajtása. - Megfelelés biztosítása:
Gondoskodik arról, hogy a szervezet megfeleljen a vonatkozó törvényi előírásoknak, szabványoknak és irányelveknek. - Oktatás és tudatosságnövelés:
A munkavállalók információbiztonsági tudatosságának növelése és folyamatos képzés biztosítása. - Incident Management:
Az információbiztonsági incidensek kezelése, beleértve a válaszintézkedések koordinálását és a helyreállítási folyamatok irányítását.
Az információbiztonsági felelős kulcsfontosságú szerepet játszik a szervezet adatainak védelmében és a biztonsági kockázatok kezelésében.
Dokumentációk készítése, fenntartható adminisztrációs környezet kialakítása
Az audithoz szükséges szabályzatok és dokumentációk elkészítése része a felkészítésnek. Az egyes cégvezetés által elgondolt (pl.: Üzletmenet folytonossági terv) folyamatok esetén azonban szükséges a szervezet tevékeny hozzájárulása az elkészüléshez!
A folyamatok kialakítását és a rendszer új elemeinek bevezetését követően már a szervezet önmaga (reptér munkatársai és IT szolgáltató) önállóan képesek lehetnek a napi tevékenységek ellátására.
A szükséges oktatásokban és a biztonsági tesztelésben minősített partnereink segítenek.
Elérhetőségeinken további információval segíthetjük az eligazodást ebben a hosszú és összetett feladatot jelentő felkészülésben.